Authentication Service
IAM (Identity and Access Management)
AWS 리소스에 대한 접근제어를 중앙에서 관리할 수 있게 해주는 서비스
사용자 (User)를 생성하고 권한을 할당하거나 AWS 리소스들에 권한을 할당하기 위해 역할 (Role)을 생성하는 형태로 활용
AWS IAM 주요 구성요소
- User
- Group
- Role
- Policy
User & Group
AWS Account에서 함께 작업할 사용자들에게 접속할 Sub Account를 User라고 표현
AWS Account를 생성할 때 사용된 접속 정보는 Root Account 또는 Root User가 되며, AWS Account 초기 설정 이후 사용 최소화 권장
Role
특정 주체에게 AWS 리소스를 사용하기 위한 자격 증명 (권한)을 할당 할 때 사용
한 사람에게 고유하게 할당하는 IAM User와 다르게 다수의 사람이나 주체에게 역할 할당 가능
Policy
IAM 자격 증명 (User, Group, Role)에 연결해 AWS 리소스에 대한 접근 권한 정보가 정의되어 있는 객체
IAM Policy는 JSON 파일 형태로 구성
IAM Policy는 자격 증명 기반 정책 (Identity-based Policies)와 리소스 기반 정책 (Resource-based Policies)로 구분
Password Policy & MFA
할당 된 AWS 계정 (IAM User & Root Account)에 접근 제어를 강화하기 위해 비밀번호 정책 할당
IAM Root Account, User에 추가 보안 수준을 제공하기 위해 MFA 사용
Organizations
Multi Account의 관리를 용이하게 해주는 서비스
1개의 메인 계정을 관리 계정이라고 하고, 그 외 다수의 멤버 계정으로 구성
모든 멤버 계정의 비용을 통합하여 관리 계정에서 처리
규모의 경제에 따라 전체 계정의 사용량이 상승해 할인 정책 적용 가능
Organization Unit 단위로 Account를 Group 단위로 묶어서 관리
관리 계정은 Root Organization Unit (Default OU)
멤버 계정은 특정 단위로 업무 환경에 맞춰 OU 생성 및 할당
Logging System
CloudTrail
AWS Console, API, CLI 등 진행한 작업의 모든 이력을 로그로 남기는 서비스
Default로 활성화 되어 있는 CloudTrail 로그는 90일만 보관할 수 있고, 더 긴 시간 로그를 보관하고자 할 경우 CloudWatch, S3에 별도 보관 필요
ELB Access Log
Elastic Load Balancer Access Log : Load Balancer로 전송된 요청에 대한 자세한 정보를 캡처하는 Access Log 제공
VPC Flow Log
VPC 내부에서 전송, 수신 되고 있는 Traffic에 대한 정보를 수집하는 기능
VPC, Subnet, Elastic Network Interface 중 로그 정보 수집 대상 선택 가능
Security Service
AWS Backup
AWS 서비스 리소스 별 제공하는 Backup 서비스를 중앙에서 관리 및 자동화 지원
Multi Account 환경, Multi Regions 환경에서도 중앙에서 전체 리소스에 대한 백업 지원
AWS WAF (Web Application Firewall)
Web Application에 대한 보안을 훼손하거나 과도하게 리소스를 낭비 시키는 공격으로 부터 보호하도록 지원하는 서비스
AWS Shield
Application을 보호하기 위한 완전관리형 Anti-DDoS 서비스
Shield Standard, 과금이 발생하는 Shield Advanced로 구분
Standard : Default로 활성화 되고 기본적인 DDoS 공격 방어
Advanced : ELB, CloudFront, Route53 등 더욱 정교한 공격 대응 지원
Advanced Dependency 서비스 이용 시 AWS DRT (DDoS 대응 팀)의 24x7 서 비스 지원
AWS Secrets Manager
Database, Application, API Key 등 인증과 관련된 정보를 저장해 둘 수 있는 저장소로 인증 정보에 대한 관리, 검색, 자동 교체 지원
Secrets Manager에 저장해 둔 인증 정보를 Application에서 API 호출을 통해 획득하여 인증 정보에 대한 Hard Coding을 제거하여 보안 환경 개선
보안 컴플라이언스 준수를 위해 주기적인 인증 정보 교체를 지원하며, Application의 수정 없이 인증 정보만 교체 할 수 있는 환경 제공
